Massive Schatten-IT in Homeoffices gefährdet Unternehmens-IT

Der Großteil der deutschen Heimarbeiter greift auf Schatten-IT zurück, wodurch sich das Sicherheitsrisiko für Unternehmen erhöht. Das ist das zentrale Ergebnis einer aktuellen Studie des Cybersecurity-Spezialisten Forcepoint, die die Auswirkung von Heimarbeit auf die Nutzung von Technologie untersucht. [...]

So sieht laut Forcepoint der Alptraum der Unternehmens-IT aus: das Homeoffice. (c) Unsplash
So sieht laut Forcepoint der Alptraum der Unternehmens-IT aus: das Homeoffice. (c) Unsplash

Das Arbeiten im Homeoffice hat erhebliche Auswirkungen auf die IT-Sicherheit von Unternehmen, so das Ergebnis einer Forcepoint-Umfrage in Deutschland. Durch den Einsatz privater Geräte und Software-Tools, die nicht von der zentralen IT verwaltet, kontrolliert und abgesichert werden, sind die Unternehmen und deren Daten einem hohen Sicherheitsrisiko ausgesetzt.

Tatsächlich gaben 63 Prozent der Befragten an, mit privaten Endgeräten auf Dokumente und Dienste ihres Arbeitgebers zuzugreifen. 58 Prozent speichern oder übertragen Arbeitsdaten auf persönlichen USB-Sticks, 55 Prozent der Befragten gaben an, private E-Mail- oder File-Sharing-Cloud-Dienste für Arbeitszwecke zu verwenden. Für die Nutzung von Schatten-IT führten die Befragten diese Gründe ins Feld: Erstens erleichtere sie ihnen die Erledigung bestimmter arbeitsbezogener Aufgaben (56 Prozent); zweitens machten es ihnen die Unternehmensrichtlinien schwer, ihre Arbeit ohne Schatten-IT überhaupt bewältigen zu können (50 Prozent).

Neben dem Einsatz von Schatten-IT legen die deutschen Heimarbeiter auch einen recht sorglosen Umgang mit physischen Arbeitsunterlagen und Geräten ihres Arbeitgebers an den Tag. So gaben beispielsweise 67 Prozent der Befragten an, Dokumente auf Geräten auszudrucken, die von mehreren Personen in ihrem Haushalt genutzt werden. 55 Prozent lassen Arbeitsunterlagen im Haus herumliegen. Außerdem nutzt fast die Hälfte der Befragten (47 Prozent) die vom Arbeitgeber gestellten Endgeräte auch für private Zwecke. 36 Prozent erlauben sogar Familienmitgliedern die Nutzung der Firmengeräte.

Innerhalb der Gruppe der Schatten-IT-Nutzer zeigten sich teilweise erhebliche Unterschiede. So setzen etwa Männer häufiger als Frauen private Geräte und Software für die Arbeit ein. Auch Personen, die im Homeoffice Betreuungsarbeit leisten, also sich etwa um ihre Kinder kümmern, greifen eher auf Schatten-IT zurück. Der größte Unterschied zeigt sich aber in den verschiedenen Altersgruppen. So nutzen jüngere Mitarbeiter deutlich öfter Schatten-IT als ihre älteren Kollegen.

„Heimarbeit scheint sich auf bestimmte Gruppen negativer auszuwirken als auf andere. Vor allem jüngere Mitarbeiter beklagen einen größeren negativen Einfluss auf ihr Arbeits- und Berufsleben als ältere Mitarbeiter“, kommentiert Dr. Margaret Cunningham, Principal Research Scientist bei Forcepoint, diese Unterschiede. „Möglicherweise entscheiden sie sich für Schatten-IT, weil sie mehr private Geräte und Accounts besitzen und nutzen oder, weil sie sich mit unterschiedlichen privaten Software-Tools besser auskennen. Unsere Studie verzeichnet bei dieser Gruppe aber auch ein höheres Stresslevel. Das könnte darauf hindeuten, dass sie sich von Zeit- und Arbeitsverpflichtungen stärker unter Druck gesetzt fühlen und daher riskantere Verhaltensweisen an den Tag legt, um ihre Arbeit zu erledigen. Das kann Unternehmen einem erhöhten Cybersicherheitsrisiko aussetzen.“

Allerdings darf nicht der Schluss gezogen werden, dass sich Mitarbeiter aus Böswilligkeit riskant verhalten. Vielmehr versuchen sie einfach nur, in einer schwierigen Phase ihres Arbeitslebens ihre Aufgaben zu erledigen. Über 65 Prozent der deutschen Befragten gaben an, Cybersicherheitsrisiken bei der Nutzung von Schatten-IT zu berücksichtigen. 61 Prozent berichteten, dass sie von ihren Arbeitgebern zusätzliche Schulungen und Unterstützung erhalten.

Zusätzliche Belastung

Negativ auf die IT-Sicherheit könnten sich auch die zusätzlichen Stressfaktoren im Homeoffice auswirken. Mehr als die Hälfte der Befragten (52 Prozent) hat bei der Arbeit von zuhause aus Schwierigkeiten damit, tägliche Entscheidungen zu treffen; und 59 Prozent finden es schwierig, Privat- und Arbeitsleben voneinander zu trennen.

„Der Lockdown ist für alle Beteiligten eine stressige Zeit. Die Arbeitgeber unterstützen die Heimarbeit auf bewundernswerte Weise mit Technologie und Konnektivität, dürfen aber auch den Faktor Mensch nicht außer Acht lassen“, so Dr. Cunningham. „Unterbrechungen, Ablenkungen und geteilte Aufmerksamkeit können körperlich und emotional anstrengend sein und sich negativ auf die Leistung auswirken. Das kann sich in manchen Fällen in der Qualität der Ergebnisse niederschlagen oder in fehlerhaften Arbeitsergebnissen resultieren.“

Besonders betroffen sind Mitarbeiter mit Betreuungsaufgaben. So gaben 54 Prozent von ihnen an, vergesslicher zu sein – gegenüber 36 Prozent bei den Mitarbeitern ohne Betreuungsaufgaben. 58 Prozent der ersten Gruppe machen öfter kleine Fehler und bei 59 Prozent wirken sich Ablenkungen negativ auf die Entscheidungsfindung aus. In der zweiten Gruppe trifft das nur auf 32 Prozent beziehungsweise 45 Prozent zu. Erhalten Mitarbeiter mit Betreuungsaufgaben keine zusätzliche Unterstützung durch den Arbeitgeber, könnte das auch dazu führen, dass sie von vorgegebenen und erlernten IT-Sicherheitsregeln abweichen und ihre Unternehmen dadurch einem noch weiter erhöhten Sicherheitsrisiko aussetzen.

„Die Unternehmen und ihre Führungskräfte müssen die besondere psychologische und physische Situation ihrer Heimarbeiter berücksichtigen, um einen effektiven IT-Schutz zu gewährleisten. Sie sollten sich vergewissern, dass sich ihre Mitarbeiter auch im Homeoffice wohl fühlen und miteinander kommunizieren sowie ihr Bewusstsein für IT-Sicherheitsfragen schärfen und auch selbst mit gutem Beispiel vorangehen. Darüber hinaus sollten sie eine ausgewogene Work-Life-Balance fördern und regelmäßige Meeting-freie Tage und Unterstützung in Betracht ziehen“, erläutert Dr. Cunningham.

„Die Menschen im Homeoffice nutzen Schatten-IT meist nicht aus Bösartigkeit oder Nachlässigkeit, sondern um produktiver zu sein. Daran wird man sie auch nicht hindern können“, so Carsten Hoffmann, Manager Sales Engineering bei Forcepoint. „Tatsächlich kann Schatten-IT sogar zu Innovationen und erhöhter Produktivität führen. Schwarz-Weiß-Richtlinien, die einfach nur den Zugriff blockieren, werden nur zu mehr Workarounds führen. Der Fokus sollte deshalb darauf liegen, die Nutzung von Schatten-IT aufzudecken und, wo erforderlich, neue Richtlinien aufzusetzen. Unternehmen müssen zudem sicherstellen, dass kritische Daten definiert und angemessen geschützt werden, denn die neuen Formen des flexiblen Arbeitens und der Remote-Tätigkeit werden Bestand haben.“

Cloud-Security

Vectra AI hat eine internationale Studie zum Thema Cloud-Sicherheit veröffentlicht. Ziel war es herauszufinden, in welchen Bereichen IT-Sicherheitsexperten auf dem Weg zu besseren Cloud-Sicherheitspraktiken sind. Fragestellungen waren unter anderem, ob die Verantwortlichkeiten im Unternehmen klar sind, worin die größten Bedrohungen liegen und wie Unternehmen bei der Cloud-Sicherheit vorgehen.

Das Modell der geteilten Verantwortung besagt, dass Cloud-Provider für die „Sicherheit der Cloud“ und Kunden für die „Sicherheit in der Cloud“ verantwortlich sind. Unternehmen müssen daher festlegen, wer intern für die Sicherheit von Cloud-Assets verantwortlich ist. Das IT-Sicherheitsteam scheint vielerorts eine naheliegende Antwort zu sein, wie 46 Prozent aller Befragten angaben, doch 28 Prozent sehen hier das Cloud-Operations-Team in der Verantwortung. Neun Prozent gaben an, dass das Netzwerkbetriebsteam in erster Linie für die Cloud-Sicherheit verantwortlich ist. Sechs Prozent antworteten, dass die Verantwortung von zwei oder mehr Gruppen getragen wird, in der Regel dem IT-Sicherheitsteam und entweder dem Cloud-Operations-Team oder Infrastrukturteam geteilt wurde.

Die Teilnehmer der Vectra-Umfrage sollten auch die Bedrohungen für cloudbasierte Assets bewerten. Der größte Prozentsatz (16 Prozent) entfiel hier auf Datenverlust durch eine falsche Konfiguration der Cloud-Konten, gefolgt von Datenexfiltration durch böswillige Außenstehende (14 Prozent). Als weitere Risiken nannten die Befragten Account-Hijacking (11 Prozent), eine fehlende Cloud-Sicherheitsarchitektur und -strategie (10 Prozent) sowie Insider-Bedrohungen (9 Prozent).


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*